C'è stato un tempo, agli albori di Internet, in cui i siti erano costruiti con del semplice codice Html, il quale forniva l'aspetto ai contenuti ma non permetteva di creare pagine particolarmente complicate.

Poi è arrivata l'era dei siti dinamici, con i linguaggi di scripting realizzati appositamente a questo scopo (come per esempio Php e i linguaggi per Asp) e, mentre le funzionalità e l'estetica miglioravano, le complicazioni crescevano.

Oggigiorno un sito è quasi sempre un'applicazione: un'applicazione web, che manipola dati (preesistenti o inseriti dall'utente) e in base a essi costruisce la pagine che poi vengono visualizzate.

Tutto ciò è molto bello, comodo e flessibile ma presenta anche dei rischi: come ogni applicazione, anche i siti possono avere delle falle di sicurezza che vengono via via scoperte e necessitano di essere corrette.

Il caso di Drupal è emblematico. Si tratta di uno dei più popolari Cms (sistemi di gestione dei contenuti) scritti in Php, usato da oltre 1 milione di siti, attualmente disponibile in due versioni supportate: la più vecchia 7, e la più recente 8.

Durante lo scorso mese di marzo si è scoperto che tutte le installazioni di Drupal, comprese quelle che utilizzano tuttora la non più supportata versione 6, contengono una falla importante: le conseguenze del suo sfruttamento sono tanto gravi (è possibile usarla per prendere il controllo del server su cui gira il sito) che si è subito parlato di "Drupalgeddon" (da Drupal + Armageddon) e tutti gli amministratori dei siti realizzati con Drupal sono stati invitati ad aggiornare al più presto.

Dalle versioni 7.58 e 8.5.1 Drupal non è più vulnerabile. Non solo: sebbene la versione 6 non sia più supportata dal febbraio 2016, il progetto Dupal 6 Long Term Support ha preparato una patch.

In teoria, quindi, non ci dovrebbero essere problemi. Il guaio è che il numero di siti ai quali le patch ancora non sono state applicate è fin troppo elevato.

Una campagna di hacking è in corso proprio in queste ore: «Ogni sito Drupal nella nostra rete è costantemente oggetto di scansione da parte di diversi indirizzi Ip» spiega Daniel Cid, Cto di Sucuri. «A questo punto, tutti i siti a cui non sia stata applicata la patch è già stato violato».

Il guaio è che violare un sito senza la patch non è difficile: basta raggiungere l'indirizzo di un sito vulnerabile e iniettare del codice pubblicamente disponibile.

Dal punto di vista degli utenti, si tratta di uno scenario pericoloso soprattutto per i loro dati: da un sito violato si possono rubare i dati degli iscritti, ma è anche possibile usare le risorse di detti siti per condurre attacchi mirati verso altri indirizzi.

È proprio in questo modo che sta venendo condotta la campagna di attacchi che sta colpendo i siti con Drupal, e lo stesso sistema viene adoperato per cercare di prendere il controllo dei server ed aggiungerli alle botnet.